【大纪元10月13日讯】〔自由时报记者黄敦砚╱台北报导〕大学肄业的男子黄伯晏,利用“网路钓鱼”的变种手法“网路猪笼草”,涉嫌架设虚假的中国信托商业银行与中华商业银行官方网站,以鱼目混珠的方式,诱骗两家网路银行的客户点选,从而套取其账号、密码,将被害人存款转至人头账户,再至ATM将钱提领出来,刑事警察局侦九队二组前往搜索,并将全案函送高雄地检署侦办。
据悉,当警方进入屋内搜索,嫌犯黄伯晏因以假名字假信用卡号与假网址与人头账户犯案,而自认天衣无缝,但警方在屋内搜索时,找到一张写有“中华商业银行网路银行”的小纸条,这个讯息刚好是他架设的假网站名称,黄嫌见状,只能俯首认罪。
警讯中,黄伯晏向警方供称所盗领的现金仅约数万元之谱,但警方初计,黄嫌从今年初以此手法,至少已取得两家银行共约六百笔的账号、密码,警方将进一步清查被害人损失金额。
警方发现,电脑骇客黄伯晏虽非资讯相关科系,学历也不高,但却自己在家研读骇客书籍并上网向国内外骇客讨教,以学习骇客入侵知识,他因发现国内现今网址注册审核认证不严的漏洞,便以架设假银行网站方式犯案。
据了解,黄嫌是先挑选中国信托商业银行与中华商业银行为目标,涉嫌冒充这两家银行名义,在PC home的搜寻引擎登录相似的网址,如原来的银行官方网站网址为www.xxxtrust.com.tw,黄嫌就架设www.xxx-trust.com.tw的网站,鱼目混珠。
一旦有网友利用PC home的搜寻引擎欲寻找这两家银行,黄嫌所设的假网站便会在列,例如虽正牌的中国信托商业银行会出现,但冒牌的“中国信托网路银行”、“中国信托个人网路银行”也会出现,而正牌的“中华商业银行”,也会伴有假冒的“中华商业银行网路银行”,网友一看名称相似,便可能会误选到黄嫌架设的假网站。
不知情的客户连上假网站后,为了转账或查询相关资料,会键入网路银行的账号、密码,殊不知,这一个动作,机密资料便遭侧录回传到黄嫌电脑中,而黄嫌设定一取得账号、密码后假网页便会回切到真的银行官方网站首页,故被害人仅会误以为是银行为确认而要求再次输入资料,并不会料想到资料已遭骇客窃取。
——————————————————————————–
多次遭人冒用 皆报警处理
〔记者李靓慧、吕清郎╱台北报导〕被诈骗集团冒名设置假网页的中国信托商银指出,该行虽然没有定期、专人进行网路监控,但一旦发现有不法人士设置假网页骗取民众资料,就会立刻报警处理。中华商银则强调,该行针对网站的讯息与交易安全问题,一直进行持续性的监控,过去资讯部门就曾多次发现遭到未授权引用或冒用。发现未授权使用的情况,立即要求对方停止使用,遭冒用则向警察单位检举。
中国信托商银指出,该行已得知出现被冒名的情形,不过,并没有客户前来申诉受骗,由于暂时仍无法取得受骗客户的资料,该行无法比对是否有客户上当。
中信银指出,如果是搜寻软体可寻获的网页,银行还有主动发现的可能,但目前最大的问题,是许多诈骗集团采取寄发电子邮件的方式,引诱民众点选进入假的网页,进而骗取民众的资料,银行对此极难防范。
不过,无法防范不代表银行就坐以待毙,银行业者指出,过去为了防止木马程式窃取客户的密码,已有多家银行针对网路银行,要求民众输入个人密码时,不再使用键盘输入,而改用以滑鼠点选“虚拟键盘”。此外,银行业者也不时在银行官方网站中,呼吁民众在输入个人资料前,必须再三的小心确认。
中华商银也建议民众,要确定所连结的网站是银行所设,不是诈骗集团冒名设置的网站,可先连结银行公会网站,查询各银行的确实网址,或先透过服务专线电话,向银行查询网址后再上网,以免受骗上当。
——————————————————————————–
少用搜寻引擎 避开猪笼草
记者黄敦砚╱特稿
猪笼草是一种食虫植物,在卷须的顶端有一个捕虫囊,囊盖经常打开,而囊盖的内壁,有很多蜜腺,具有引诱昆虫的作用,一旦如蚂蚁或苍蝇、蚊子等小昆虫掉入囊内,便会遭消化死亡。
刑事警察局侦九队二组查获的电脑骇客黄伯晏,所用的就是“网路猪笼草”的手法,在网路上架设假的银行网站,让网友们一不小心就掉入陷阱,设在网路银行的账号、密码遭窃取,存款就可能如同误入猪笼草的小昆虫遭到吞噬。
网路上各种讯息虚虚实实,现在竟然连银行的官方网站也遭到冒充,网友若想要躲开网路猪笼草的诸多陷阱,最好的方式,还是将时常会上网浏览的网站,设成“我的最爱”,直接点选,而不要使用搜寻引擎搜寻,以免一不小心就“误踩地雷”,成为猪笼草的猎物还不自知。
近来,网路银行盗领案件层出不穷,香港警方日前就破获一个以假网站盗取汇丰客户存款的犯罪集团,被害人户头里的十五万港币存款(约合台币六十五万元),遭盗领一空,显示这类情形的严重性。
事实上,在类似窃取网路银行账号、密码案件中,骇客所用的手法,大多是“网路钓鱼”,骇客会寄发广告电子信件,诈骗网友点选,再骗取相关机密资料,网路猪笼草就是网路钓鱼的变种手法,利用网站名称相似之便,借机窃走账号、密码。
银行网址是诈骗、取信被害人的重要依据,虽然网页内容可以造假,但网址却需要向网路服务公司申请登记,且需经过审核后才能付费使用。
警方透露,嫌犯就是意外发现民间代理注册网址的网路公司,对于网址申请的审核并不严谨,他才能冒充被害银行的名义成功申请网址,进而以鱼目混珠方式,使网友透过搜寻引擎而误入陷阱,相关单位在审核网址时应更加仔细才对。
